17
Firewall mit Captive Portal und SMS Voucher
Moin zusammen,
nachdem ich bei meiner Suche nach Lösungsansätzen immer wieder auf dieses Forum stoße dachte ich mal, dass ich Euch nach Euren Empfehlungen Frage. Zur Situation:
Aktuell betreibe ich für meine Gäste einen WLAN-Zugang über einen alten Zyxel USG 100 und der Hospitalitylösung von Zyxel den N4100. Beide sind nun etwas in die Jahre gekommen und das Internet ist mittlerweile schneller als was das Zyxel USG und die N4100 durchlässt. Üblicherweise sind bis zu 16 Gäste online + Fernseher usw. Ich denke ich komme auf ca. 50 clients, wenn alle Gäste mit ihren iPads und Handys + Fernseher usw. online sind. Meine LTE-Leitung gibt hier ca. 150-200Mbs down und ca. 40-50 Mbs up je nach Tagesform her.
Dementsprechend suche ich einen Ersatz der nicht gerade End-Of-Life ist und der mehr oder weniger native eine SMS-Lösung integriert hat die man nur noch konfigurieren muss (Gateway zum SMS-Dienstleister). Ansonsten brauche ich nur die Basics wie unterschiedliche VLANs und ggf. 2x WAN mit Loadbalancing. Ansonsten habe ich einen Switch mit 6 APs im Betrieb und ich nutze die 10GbE-Schnittstelle vom QNAP um schnell Daten zwischen meinem Rechner und dem NAS hin und her zuschieben.
Bisher habe ich folgende Lösungen gefunden die in Frage kämen (UPDATE 1/05/2020):
Sophos XG 86/106/115
Wenn ich das richtig rausgelesen habe, bietet die Basis-Firewall ein Captive Portal mit SMS-Lösung an, von daher wären deren Geräte preisleistungstechnisch sehr interessant. Ich bin mir aber unsicher ob man dort ein jährliches Paket zubuchen muss, um die Captive Portallösung nutzen zu können, zumindest scheint nur die Lösung ohne Vouchers in der Basisversion enthalten zu sein? Vielleicht hat einer von Euch die Lösung in Betrieb und kann mir da ein wenig zu sagen? Aktuell bin ich noch nicht ganz durch deren Lizenzmodell durchgestiegen.
Bzgl. der drei Hardwaremodelle, welches würdet Ihr für meine Zwecke vorziehen? Ich habe im englischsprachigen Foren gelesen das die XG86 eine Krücke ist und man mindestens die XG106 oder XG 115 (Revision3) nehmen sollte, wobei da die Zusatzpaket dann immer teurer werden.
Zyxel UAG4100
Ich denke das Gerät ist bereits EOL, aber man kommt relative günstig um die 600 Euro dran und es hat alles an Bord, aber ich weiß nicht wie das mit der Performance aussieht. In wie fern spielt eine Firewalldurchsatz von 300Mb/s eine rolle wenn im internen VLAN, Daten mit 1Gb/s oder 10Gb/s via Switch hin und her geschobene werden sollen? Bremst das dann das ganze Netzwerk aus oder ist das nur die "Begrenzung" für das Internet?
Zyxel Zywall VPN 100 + Hotspotlizenz
Hier dürfte die Hardware aktuell sein, wobei die Hotspotlizenz hinzukommt, so dass man auf über 1.000 Euro kommen dürfte. Vorteil wäre, dass ich mit Nebula alle meine 6 Zyxel-APs und die Firewall konfigurieren könnte, sofern das eine gute Lösung ist. Aber das ist jetzt nicht das Wichtigste. Wie sieht es mit der Zyxel-Hardware aus, ist die im Verhältnis zu Sophos eher teuer oder geben die sich nix von Qualität und Performance?
Lancom Router 1790EF & 1900EF (Ergänzung nach Vorschlag von tikayevent)
Hier gibt es eine Public Spot Option für 99 Euro als Upgrade. Von den Geräten der Leistungsfähigkeit usw. habe ich leider keine Ahnung. Preislich dürfte man im ähnlichen Gefilden wie die Sophos-Variante sein, wenn man nicht gerade die XG86 wählt.
pFsense/OPNsense Lösung
Zum Testen von pfsense habe ich versucht diese auf meinem QNAP TS-453BT3 zum Laufen zu bringen, klappt auch soweit, bis auf das die Geschwindigkeit irgendwo bei 2-5Mbs festhängt wenn ich nperf von meinem Rechner starte. Ich tippe mal es liegt irgendwo an der VirtualSwitch-Konfiguration aber ich komme da nicht weiter, siehe auch Forumeintrag bei Netgate (https://forum.netgate.com/topic/152886/pfsense-auf-qnap-extrem-langsam). Nachdem ich da nach diversen Stunden nicht weitergekommen bin und auch die SMS-Lösung vermutlich nicht mal so eben einfach zu implementieren ist, habe ich davon erstmal abstand genommen.
TP-Link Omada APs und Controller
Der Controller für die Omada Als bietet auch von Haus aus eine Captive Portal Lösung mit SMS-Gateway an. Preise sind recht interessant und es entstehen keine Zusatzkosten für Hotspot Lizenzen wie etwa bei Zyxel, Lancom oder Sophos (Soweit ich das rausgelesen habe ist bei Sophos in der Basislizenz nur das Captive Portal ohne Voucher-System dabei, ich werde das aber nochmal in Erfahung bringen)
Ich würde mich über ein wenig Input freuen, speziell wenn Euch noch andere interessante Ansätze bekannt sind, die mir bisher entgangen sind. Lieben Dank für Eure Hilfe!
Beste Grüße Lens
nachdem ich bei meiner Suche nach Lösungsansätzen immer wieder auf dieses Forum stoße dachte ich mal, dass ich Euch nach Euren Empfehlungen Frage. Zur Situation:
Aktuell betreibe ich für meine Gäste einen WLAN-Zugang über einen alten Zyxel USG 100 und der Hospitalitylösung von Zyxel den N4100. Beide sind nun etwas in die Jahre gekommen und das Internet ist mittlerweile schneller als was das Zyxel USG und die N4100 durchlässt. Üblicherweise sind bis zu 16 Gäste online + Fernseher usw. Ich denke ich komme auf ca. 50 clients, wenn alle Gäste mit ihren iPads und Handys + Fernseher usw. online sind. Meine LTE-Leitung gibt hier ca. 150-200Mbs down und ca. 40-50 Mbs up je nach Tagesform her.
Dementsprechend suche ich einen Ersatz der nicht gerade End-Of-Life ist und der mehr oder weniger native eine SMS-Lösung integriert hat die man nur noch konfigurieren muss (Gateway zum SMS-Dienstleister). Ansonsten brauche ich nur die Basics wie unterschiedliche VLANs und ggf. 2x WAN mit Loadbalancing. Ansonsten habe ich einen Switch mit 6 APs im Betrieb und ich nutze die 10GbE-Schnittstelle vom QNAP um schnell Daten zwischen meinem Rechner und dem NAS hin und her zuschieben.
Bisher habe ich folgende Lösungen gefunden die in Frage kämen (UPDATE 1/05/2020):
Sophos XG 86/106/115
Wenn ich das richtig rausgelesen habe, bietet die Basis-Firewall ein Captive Portal mit SMS-Lösung an, von daher wären deren Geräte preisleistungstechnisch sehr interessant. Ich bin mir aber unsicher ob man dort ein jährliches Paket zubuchen muss, um die Captive Portallösung nutzen zu können, zumindest scheint nur die Lösung ohne Vouchers in der Basisversion enthalten zu sein? Vielleicht hat einer von Euch die Lösung in Betrieb und kann mir da ein wenig zu sagen? Aktuell bin ich noch nicht ganz durch deren Lizenzmodell durchgestiegen.
Bzgl. der drei Hardwaremodelle, welches würdet Ihr für meine Zwecke vorziehen? Ich habe im englischsprachigen Foren gelesen das die XG86 eine Krücke ist und man mindestens die XG106 oder XG 115 (Revision3) nehmen sollte, wobei da die Zusatzpaket dann immer teurer werden.
Zyxel UAG4100
Ich denke das Gerät ist bereits EOL, aber man kommt relative günstig um die 600 Euro dran und es hat alles an Bord, aber ich weiß nicht wie das mit der Performance aussieht. In wie fern spielt eine Firewalldurchsatz von 300Mb/s eine rolle wenn im internen VLAN, Daten mit 1Gb/s oder 10Gb/s via Switch hin und her geschobene werden sollen? Bremst das dann das ganze Netzwerk aus oder ist das nur die "Begrenzung" für das Internet?
Zyxel Zywall VPN 100 + Hotspotlizenz
Hier dürfte die Hardware aktuell sein, wobei die Hotspotlizenz hinzukommt, so dass man auf über 1.000 Euro kommen dürfte. Vorteil wäre, dass ich mit Nebula alle meine 6 Zyxel-APs und die Firewall konfigurieren könnte, sofern das eine gute Lösung ist. Aber das ist jetzt nicht das Wichtigste. Wie sieht es mit der Zyxel-Hardware aus, ist die im Verhältnis zu Sophos eher teuer oder geben die sich nix von Qualität und Performance?
Lancom Router 1790EF & 1900EF (Ergänzung nach Vorschlag von tikayevent)
Hier gibt es eine Public Spot Option für 99 Euro als Upgrade. Von den Geräten der Leistungsfähigkeit usw. habe ich leider keine Ahnung. Preislich dürfte man im ähnlichen Gefilden wie die Sophos-Variante sein, wenn man nicht gerade die XG86 wählt.
pFsense/OPNsense Lösung
Zum Testen von pfsense habe ich versucht diese auf meinem QNAP TS-453BT3 zum Laufen zu bringen, klappt auch soweit, bis auf das die Geschwindigkeit irgendwo bei 2-5Mbs festhängt wenn ich nperf von meinem Rechner starte. Ich tippe mal es liegt irgendwo an der VirtualSwitch-Konfiguration aber ich komme da nicht weiter, siehe auch Forumeintrag bei Netgate (https://forum.netgate.com/topic/152886/pfsense-auf-qnap-extrem-langsam). Nachdem ich da nach diversen Stunden nicht weitergekommen bin und auch die SMS-Lösung vermutlich nicht mal so eben einfach zu implementieren ist, habe ich davon erstmal abstand genommen.
TP-Link Omada APs und Controller
Der Controller für die Omada Als bietet auch von Haus aus eine Captive Portal Lösung mit SMS-Gateway an. Preise sind recht interessant und es entstehen keine Zusatzkosten für Hotspot Lizenzen wie etwa bei Zyxel, Lancom oder Sophos (Soweit ich das rausgelesen habe ist bei Sophos in der Basislizenz nur das Captive Portal ohne Voucher-System dabei, ich werde das aber nochmal in Erfahung bringen)
Ich würde mich über ein wenig Input freuen, speziell wenn Euch noch andere interessante Ansätze bekannt sind, die mir bisher entgangen sind. Lieben Dank für Eure Hilfe!
Beste Grüße Lens
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 567966
Url: https://administrator.de/contentid/567966
Printed on: April 26, 2024 at 20:04 o'clock
17 Comments
Latest comment
Eine Firewall gehört genau deshalb immer auf ein eigenes Blech ! Allein schon aus Security Gründen verbietet sich sowas auf einem NAS auszuführen. Vom Performance verlust mal gar nicht zu reden. Ein NAS ist ein NAS und kein Security Device. Was du machen kannst ist mit dem NAS als Web Server die Gast Voucher zu verwalten. Guckst du hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
LANCOM hat auch was mit dem Public Spot.
Beim SMS-Versand kannst du auch eine eigene SIM-Karte verwenden, wenn du einen LANCOM-LTE-Router hast. Dabei muss die Karte auch nicht im Public Spot-Router stecken, sondern kann in einem anderen LANCOM-LTE-Router stecken. Andere Gateways sind aber auch konfigurierbar.
Beim SMS-Versand kannst du auch eine eigene SIM-Karte verwenden, wenn du einen LANCOM-LTE-Router hast. Dabei muss die Karte auch nicht im Public Spot-Router stecken, sondern kann in einem anderen LANCOM-LTE-Router stecken. Andere Gateways sind aber auch konfigurierbar.
Hi aqui,
das NAS soll nicht in Produktion gehen, das ist mir klar, ich habe es nur benutzt um die Lösung zu testen bevor ich in Hardware investiere. Dabei habe ich halt gemerkt, dass ich in Problem reinrenne (die evtl. durch das NAS beding sind) was mir vorerst die Lust genommenen hat den Pfad weiter zu beschreiten. Deine Anleitungen habe ich schon gelesen, top Arbeit, aber vermutlich muss ich erstmal in neue Hardware investieren auch um pfsense optimal zu testen und da bin ich mir halt nicht sicher ob da die Sophos oder Zyxel-Lösung etwas simpler im Setup sind.
Danke für Deine Input.
das NAS soll nicht in Produktion gehen, das ist mir klar, ich habe es nur benutzt um die Lösung zu testen bevor ich in Hardware investiere. Dabei habe ich halt gemerkt, dass ich in Problem reinrenne (die evtl. durch das NAS beding sind) was mir vorerst die Lust genommenen hat den Pfad weiter zu beschreiten. Deine Anleitungen habe ich schon gelesen, top Arbeit, aber vermutlich muss ich erstmal in neue Hardware investieren auch um pfsense optimal zu testen und da bin ich mir halt nicht sicher ob da die Sophos oder Zyxel-Lösung etwas simpler im Setup sind.
Danke für Deine Input.
Hey Danke Tikayevent, Lancom hatte ich noch nicht auf dem Schirm, muss ich mir gleich mal anschauen. Besten Dank.
aber vermutlich muss ich erstmal in neue Hardware investieren auch um pfsense optimal zu testen
Nöö, das rennt auch auf einem alten ausgemusterten PC ! 
Übrigens Mikrotik hat auch ein Captive Portal gleich in der Firmware:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
https://mum.mikrotik.com/presentations/KH19/presentation_6543_1548316979 ...
https://www.youtube.com/watch?v=bH_6MS9T_n4
OK dann würde ich die Liste noch um die Lancom Router 1790EF und 1900EF erweitern wo es dann für 99 Euro die Public Spot Funktion gibt. Ich hoffe das es eine einmalige Zahlung ist).
Von daher würde ich mit Sophos oder Lancom im Bereich vom 400 bis 600 Euro für eine passende Lösung liegen, je nachdem welche Hardware ausgewählt wird und mit Zyxel bei 1.000 Euro+ da die alte UAG4100 nicht umbedingt in Frage kommt.
Was wäre Eure Meinungen zu den drei/vier Optionen? Nachdem ich 7 Jahre den Hotspot solide und ohne Probleme mit Zyxel betrieben habe, tendiere ich zu Zyxel, aber preislich ist es halt deutlich teurer und manchmal macht was Neues vielleicht auch sinn.
Beste Grüße
Von daher würde ich mit Sophos oder Lancom im Bereich vom 400 bis 600 Euro für eine passende Lösung liegen, je nachdem welche Hardware ausgewählt wird und mit Zyxel bei 1.000 Euro+ da die alte UAG4100 nicht umbedingt in Frage kommt.
Was wäre Eure Meinungen zu den drei/vier Optionen? Nachdem ich 7 Jahre den Hotspot solide und ohne Probleme mit Zyxel betrieben habe, tendiere ich zu Zyxel, aber preislich ist es halt deutlich teurer und manchmal macht was Neues vielleicht auch sinn.
Beste Grüße
Besten Dank, ich lese mich da mal ein 
wo es dann für 99 Euro die Public Spot Funktion gibt.
In einem Mikrotik Router ist das mit 20 Euronen enthalten https://www.varia-store.com/de/produkt/33635-mikrotik-routerboard-rb941- ...
Hui ja da sind wir ja mal in ganzen anderen preislichen Regionen.
Nochmal kurz zu einer rein technischen Frage: Die Hersteller geben ja diverse Firewall throughputs an. Wie wichtig ist dieser, wenn die eigene Internetleitung nur 150Mbps hergibt und die Firewall z.B 1,6 Gbps oder 4Gbps kann. Spielt der unterschied dann eine Rolle? Oder ist das auch für das interne Lan von Relevanz, wenn ich schnell Daten zwischen Rechnern und NAS hin und herschieben will?
Wie wichtig ist dieser, wenn die eigene Internetleitung nur 150Mbps hergibt
Nicht wichtig, denn popelige 150Mbit/s Wirespeed schafft mittlerweile jede aktuelle HW am Markt.wenn ich schnell Daten zwischen Rechnern und NAS hin und herschieben will?
Wenn das im lokalen LAN passiert zählt da einzig nur die Performance des Switches und welches Sharing Protokoll du verwendest. Ist das klassisches SMB/CIFS dann sollte man nicht an einem guten Switch sparen, denn da es ineffizent sehr kkleine Pakete nutzt ist ein Switch hilfreich der entsprechend gute ASICS intern hat dafür und nicht überbucht ist.NetIO und iPerf3 sind hier wie immer deine Freunde wenn du selber mal testen willst was die Infrastruktur so an Netto Durchsatz hergibt !
Besten Dank aqui!
Soweit ich das bisher erfasse entscheidet dann wohl eher das Budget und welches Interface mir besser gefällt. Letztendlich dürften alle Geräte meine Anforderungen ohne weiteres erfüllen, selbst das alte UAG4100. Ich werde auch nochmal bei den Herstellern anfragen und wenn da was Sinnvolles bei rüberkommt ergänze ich den Eingangspost entsprechend.
Falls jemand von Euch Sophos XG benutzt, könnte derjenige mal prüfen ob das Captive Portal ein Re-Login basierend auf die MAC-Adresse unterstützt? Konnte dort nix finden. Zyxel und Lancom machen dies, so dass sich meine Gäste nur einmalig einloggen müssen und dann bis zum Verfall des Vouchers ohne erneutes Einloggen das Internet nutzten können. Da meine Gäste immer 7 Tage bei uns sind, ist das ein deutlicher Komfortgewinn den ich den Gästen in Zukunft nicht vorenthalten will.
Ein weitere Punkt der positive für Lancom spricht ist, das ein Voucher mehrfach verwendet werden kann, so dass ein Gast mit mehreren Geräten nicht mehrere Voucher anfordern muss.
Anyway das ganze hat noch ein wenig Zeit, da entsprechend der Lage die nächsten Gäste vermutlich erst im Herbst wieder aufkreuzen...
Falls jemand von Euch Sophos XG benutzt, könnte derjenige mal prüfen ob das Captive Portal ein Re-Login basierend auf die MAC-Adresse unterstützt? Konnte dort nix finden. Zyxel und Lancom machen dies, so dass sich meine Gäste nur einmalig einloggen müssen und dann bis zum Verfall des Vouchers ohne erneutes Einloggen das Internet nutzten können. Da meine Gäste immer 7 Tage bei uns sind, ist das ein deutlicher Komfortgewinn den ich den Gästen in Zukunft nicht vorenthalten will.
Ein weitere Punkt der positive für Lancom spricht ist, das ein Voucher mehrfach verwendet werden kann, so dass ein Gast mit mehreren Geräten nicht mehrere Voucher anfordern muss.
Anyway das ganze hat noch ein wenig Zeit, da entsprechend der Lage die nächsten Gäste vermutlich erst im Herbst wieder aufkreuzen...
entscheidet dann wohl eher das Budget und welches Interface mir besser gefällt.
Genau so ist es !Zyxel und Lancom machen dies,
pfSense und Mikrotik übrigens auch !!ist, das ein Voucher mehrfach verwendet werden kann,
Das können ALLE anderen Hersteller auch. Das ist im Setup des CP immer einstellbar. Ist aber sehr gefährlich, denn du hast keinerlei Kontrolle mehr an wen diese Voucher weitergeben werden. Rechtlich ist das ein böses Minenfeld, denn für Straftaten die über den Anschluss begangen werden haftet voll der Ansachlussinhaber. Keine gute Idee also sowas freizugeben wenn du safe sein willst !Deinen o.g. Anforderungen sind Banalfunktionen eines CPs was alle Hersteller können, aber eben nicht imemr sinnvoll sind !
So ich habe noch eine Option gefunden. Ist zwar jetzt an sich erstmal keine Firewall aber die TP-Link Omada APs mit deren Controller bieten auch von Haus aus eine Captive Portal Lösung incl. SMS Gateway an. Das ganze beinhaltet dann zwar keine Firewall, aber so könnte man dann zb Pfsense oder jede andere Firewall-Lösung damit kombinieren.
Unsicher ist nur ob man dann komplett an die TP-Link Hardware gebunden ist, oder ob man auch andere APs ins Netz integrieren kann. Das bleibt dann erstmal zu erforschen. Vielleicht weiß da jemand mehr.
Ich bin mal gespannt auf die kommenden WIFI-6 APs von TP-Link. Soweit liest man recht viel gutes zu den aktuellen Wifi-5 EAP245 was das Roaming und die Geschwindigkeit angeht und der Preis ist auch sehr interessant.
Unsicher ist nur ob man dann komplett an die TP-Link Hardware gebunden ist, oder ob man auch andere APs ins Netz integrieren kann. Das bleibt dann erstmal zu erforschen. Vielleicht weiß da jemand mehr.
Ich bin mal gespannt auf die kommenden WIFI-6 APs von TP-Link. Soweit liest man recht viel gutes zu den aktuellen Wifi-5 EAP245 was das Roaming und die Geschwindigkeit angeht und der Preis ist auch sehr interessant.
Hey wollte den Eingangspost entsprechend updaten aber da es zuviel Änderungen sind darf ich das nicht, kann ein Moderator den Text entsprechend anpassen und diesen Post dann ggf. Löschen? Besten Dank.
Moin zusammen,
nachdem ich bei meiner Suche nach Lösungsansätzen immer wieder auf dieses Forum stoße dachte ich mal, dass ich Euch nach Euren Empfehlungen Frage. Zur Situation:
Aktuell betreibe ich für meine Gäste einen WLAN-Zugang über einen alten Zyxel USG 100 und der Hospitalitylösung von Zyxel den N4100. Beide sind nun etwas in die Jahre gekommen und das Internet ist mittlerweile schneller als was das Zyxel USG und die N4100 durchlässt. Üblicherweise sind bis zu 16 Gäste online + Fernseher usw. Ich denke ich komme auf ca. 50 clients, wenn alle Gäste mit ihren iPads und Handys + Fernseher usw. online sind. Meine LTE-Leitung gibt hier ca. 150-200Mbs down und ca. 40-50 Mbs up je nach Tagesform her.
Dementsprechend suche ich einen Ersatz der nicht gerade End-Of-Life ist und der mehr oder weniger native eine SMS-Lösung integriert hat die man nur noch konfigurieren muss (Gateway zum SMS-Dienstleister). Ansonsten brauche ich nur die Basics wie unterschiedliche VLANs und ggf. 2x WAN mit Loadbalancing. Ansonsten habe ich einen Switch mit 6 APs im Betrieb und ich nutze die 10GbE-Schnittstelle vom QNAP um schnell Daten zwischen meinem Rechner und dem NAS hin und her zuschieben.
Bisher habe ich folgende Lösungen gefunden die in Frage kämen (UPDATE 1/05/2020):
Sophos XG 86/106/115
Wenn ich das richtig rausgelesen habe, bietet die Basis-Firewall ein Captive Portal mit SMS-Lösung an, von daher wären deren Geräte preisleistungstechnisch sehr interessant. Ich bin mir aber unsicher ob man dort ein jährliches Paket zubuchen muss, um die Captive Portallösung nutzen zu können, zumindest scheint nur die Lösung ohne Vouchers in der Basisversion enthalten zu sein? Vielleicht hat einer von Euch die Lösung in Betrieb und kann mir da ein wenig zu sagen? Aktuell bin ich noch nicht ganz durch deren Lizenzmodell durchgestiegen.
Bzgl. der drei Hardwaremodelle, welches würdet Ihr für meine Zwecke vorziehen? Ich habe im englischsprachigen Foren gelesen das die XG86 eine Krücke ist und man mindestens die XG106 oder XG 115 (Revision3) nehmen sollte, wobei da die Zusatzpaket dann immer teurer werden.
Zyxel UAG4100
Ich denke das Gerät ist bereits EOL, aber man kommt relative günstig um die 600 Euro dran und es hat alles an Bord, aber ich weiß nicht wie das mit der Performance aussieht. In wie fern spielt eine Firewalldurchsatz von 300Mb/s eine rolle wenn im internen VLAN, Daten mit 1Gb/s oder 10Gb/s via Switch hin und her geschobene werden sollen? Bremst das dann das ganze Netzwerk aus oder ist das nur die "Begrenzung" für das Internet?
Zyxel Zywall VPN 100 + Hotspotlizenz
Hier dürfte die Hardware aktuell sein, wobei die Hotspotlizenz hinzukommt, so dass man auf über 1.000 Euro kommen dürfte. Vorteil wäre, dass ich mit Nebula alle meine 6 Zyxel-APs und die Firewall konfigurieren könnte, sofern das eine gute Lösung ist. Aber das ist jetzt nicht das Wichtigste. Wie sieht es mit der Zyxel-Hardware aus, ist die im Verhältnis zu Sophos eher teuer oder geben die sich nix von Qualität und Performance?
Lancom Router 1790EF & 1900EF (Ergänzung nach Vorschlag von tikayevent)
Hier gibt es eine Public Spot Option für 99 Euro als Upgrade. Von den Geräten der Leistungsfähigkeit usw. habe ich leider keine Ahnung. Preislich dürfte man im ähnlichen Gefilden wie die Sophos-Variante sein, wenn man nicht gerade die XG86 wählt.
TP-Link Omada APs und Controller
Der Controller für die Omada APs bietet von Haus aus eine Captive Portal Lösung mit SMS-Gateway an. Preise sind recht interessant und es entstehen keine Zusatzkosten für Hotspot Lizenzen wie etwa bei Zyxel, Lancom oder Sophos (Soweit ich das rausgelesen habe ist bei Sophos in der Basislizenz nur das Captive Portal ohne Voucher-System dabei, ich werde das aber nochmal in Erfahung bringen). Vermutlich ist man aber dadurch an die APs von TP-Link gebunden und kann nicht mit anderen APs mixen, aber das müsste ich erst noch in Erfahrung bringen.
pFsense/OPNsense Lösung
Zum Testen von pfsense habe ich versucht diese auf meinem QNAP TS-453BT3 zum Laufen zu bringen, klappt auch soweit, bis auf das die Geschwindigkeit irgendwo bei 2-5Mbs festhängt wenn ich nperf von meinem Rechner starte. Ich tippe mal es liegt irgendwo an der VirtualSwitch-Konfiguration aber ich komme da nicht weiter, siehe auch Forumeintrag bei Netgate (https://forum.netgate.com/topic/152886/pfsense-auf-qnap-extrem-langsam). Nachdem ich da nach diversen Stunden nicht weitergekommen bin und auch die SMS-Lösung vermutlich nicht mal so eben einfach zu implementieren ist, habe ich davon erstmal abstand genommen. Dennoch sollte hier eine Captive Portal Lösung mit SMS-Vouchern möglich sein, siehe auch die anderen Beiträge:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken (Voucher per SMS)
Mikrotik Router
Biete auch eine Captive Portallösung an. Hier habe ich aber nix konkretes zur SMS-Integration gefunden, hier muss vermutlich wie bei pFsense und OPNsense ein wenig Arbeit in die Lösung gesteckt werden. Links und Vorschlag von Aqui siehe auch seine Beiträge)
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
https://mum.mikrotik.com/presentations/KH19/presentation_6543_1548316979 ...
https://www.youtube.com/watch?v=bH_6MS9T_n4
Ich würde mich über ein wenig Input freuen, speziell wenn Euch noch andere interessante Ansätze bekannt sind, die mir bisher entgangen sind. Lieben Dank für Eure Hilfe!
Beste Grüße Lens
Moin zusammen,
nachdem ich bei meiner Suche nach Lösungsansätzen immer wieder auf dieses Forum stoße dachte ich mal, dass ich Euch nach Euren Empfehlungen Frage. Zur Situation:
Aktuell betreibe ich für meine Gäste einen WLAN-Zugang über einen alten Zyxel USG 100 und der Hospitalitylösung von Zyxel den N4100. Beide sind nun etwas in die Jahre gekommen und das Internet ist mittlerweile schneller als was das Zyxel USG und die N4100 durchlässt. Üblicherweise sind bis zu 16 Gäste online + Fernseher usw. Ich denke ich komme auf ca. 50 clients, wenn alle Gäste mit ihren iPads und Handys + Fernseher usw. online sind. Meine LTE-Leitung gibt hier ca. 150-200Mbs down und ca. 40-50 Mbs up je nach Tagesform her.
Dementsprechend suche ich einen Ersatz der nicht gerade End-Of-Life ist und der mehr oder weniger native eine SMS-Lösung integriert hat die man nur noch konfigurieren muss (Gateway zum SMS-Dienstleister). Ansonsten brauche ich nur die Basics wie unterschiedliche VLANs und ggf. 2x WAN mit Loadbalancing. Ansonsten habe ich einen Switch mit 6 APs im Betrieb und ich nutze die 10GbE-Schnittstelle vom QNAP um schnell Daten zwischen meinem Rechner und dem NAS hin und her zuschieben.
Bisher habe ich folgende Lösungen gefunden die in Frage kämen (UPDATE 1/05/2020):
Sophos XG 86/106/115
Wenn ich das richtig rausgelesen habe, bietet die Basis-Firewall ein Captive Portal mit SMS-Lösung an, von daher wären deren Geräte preisleistungstechnisch sehr interessant. Ich bin mir aber unsicher ob man dort ein jährliches Paket zubuchen muss, um die Captive Portallösung nutzen zu können, zumindest scheint nur die Lösung ohne Vouchers in der Basisversion enthalten zu sein? Vielleicht hat einer von Euch die Lösung in Betrieb und kann mir da ein wenig zu sagen? Aktuell bin ich noch nicht ganz durch deren Lizenzmodell durchgestiegen.
Bzgl. der drei Hardwaremodelle, welches würdet Ihr für meine Zwecke vorziehen? Ich habe im englischsprachigen Foren gelesen das die XG86 eine Krücke ist und man mindestens die XG106 oder XG 115 (Revision3) nehmen sollte, wobei da die Zusatzpaket dann immer teurer werden.
Zyxel UAG4100
Ich denke das Gerät ist bereits EOL, aber man kommt relative günstig um die 600 Euro dran und es hat alles an Bord, aber ich weiß nicht wie das mit der Performance aussieht. In wie fern spielt eine Firewalldurchsatz von 300Mb/s eine rolle wenn im internen VLAN, Daten mit 1Gb/s oder 10Gb/s via Switch hin und her geschobene werden sollen? Bremst das dann das ganze Netzwerk aus oder ist das nur die "Begrenzung" für das Internet?
Zyxel Zywall VPN 100 + Hotspotlizenz
Hier dürfte die Hardware aktuell sein, wobei die Hotspotlizenz hinzukommt, so dass man auf über 1.000 Euro kommen dürfte. Vorteil wäre, dass ich mit Nebula alle meine 6 Zyxel-APs und die Firewall konfigurieren könnte, sofern das eine gute Lösung ist. Aber das ist jetzt nicht das Wichtigste. Wie sieht es mit der Zyxel-Hardware aus, ist die im Verhältnis zu Sophos eher teuer oder geben die sich nix von Qualität und Performance?
Lancom Router 1790EF & 1900EF (Ergänzung nach Vorschlag von tikayevent)
Hier gibt es eine Public Spot Option für 99 Euro als Upgrade. Von den Geräten der Leistungsfähigkeit usw. habe ich leider keine Ahnung. Preislich dürfte man im ähnlichen Gefilden wie die Sophos-Variante sein, wenn man nicht gerade die XG86 wählt.
TP-Link Omada APs und Controller
Der Controller für die Omada APs bietet von Haus aus eine Captive Portal Lösung mit SMS-Gateway an. Preise sind recht interessant und es entstehen keine Zusatzkosten für Hotspot Lizenzen wie etwa bei Zyxel, Lancom oder Sophos (Soweit ich das rausgelesen habe ist bei Sophos in der Basislizenz nur das Captive Portal ohne Voucher-System dabei, ich werde das aber nochmal in Erfahung bringen). Vermutlich ist man aber dadurch an die APs von TP-Link gebunden und kann nicht mit anderen APs mixen, aber das müsste ich erst noch in Erfahrung bringen.
pFsense/OPNsense Lösung
Zum Testen von pfsense habe ich versucht diese auf meinem QNAP TS-453BT3 zum Laufen zu bringen, klappt auch soweit, bis auf das die Geschwindigkeit irgendwo bei 2-5Mbs festhängt wenn ich nperf von meinem Rechner starte. Ich tippe mal es liegt irgendwo an der VirtualSwitch-Konfiguration aber ich komme da nicht weiter, siehe auch Forumeintrag bei Netgate (https://forum.netgate.com/topic/152886/pfsense-auf-qnap-extrem-langsam). Nachdem ich da nach diversen Stunden nicht weitergekommen bin und auch die SMS-Lösung vermutlich nicht mal so eben einfach zu implementieren ist, habe ich davon erstmal abstand genommen. Dennoch sollte hier eine Captive Portal Lösung mit SMS-Vouchern möglich sein, siehe auch die anderen Beiträge:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken (Voucher per SMS)
Mikrotik Router
Biete auch eine Captive Portallösung an. Hier habe ich aber nix konkretes zur SMS-Integration gefunden, hier muss vermutlich wie bei pFsense und OPNsense ein wenig Arbeit in die Lösung gesteckt werden. Links und Vorschlag von Aqui siehe auch seine Beiträge)
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
https://mum.mikrotik.com/presentations/KH19/presentation_6543_1548316979 ...
https://www.youtube.com/watch?v=bH_6MS9T_n4
Ich würde mich über ein wenig Input freuen, speziell wenn Euch noch andere interessante Ansätze bekannt sind, die mir bisher entgangen sind. Lieben Dank für Eure Hilfe!
Beste Grüße Lens